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RESUMO 
A característica das informações que devem ser disponibilizadas torna o ensino de disciplinas 
relacionadas com segurança de redes um desafio bastante interessante. Este trabalho descreve uma 
proposta de formalização e de ensino da disciplina Forense Computacional. Essa proposta apresenta 
uma disciplina flexível, prática, que amplia a formação dos estudantes de Ciência da Computação 
e de Engenharia de Computação e os prepara para atuar em um mercado promissor e carente de 
especialistas. 


ABSTRACT 
Courses dealing with computer or network security present extremely interesting challenges due 
to the nature of the information that is handled. This paper presents a proposal for development 
and implementation of a course in Computer Forensics. This project introduces a course that is both 
flexible and practical while broadening the preparation of students in Computer Science and Computer 
Engineering in order to prepare them for work in an area that is very promising but has a shortage 


of specialists. 


INTRODUÇÃO 


Ensinar disciplinas da área de segurança de sis- 
temas computacionais é um desafio muito interes- 
sante em virtude das características e peculiarida- 
des das informações a serem repassadas, [1]. Aos 
estudantes devem ser apresentadas, de forma sis- 
tematizada, técnicas e ferramentas utilizadas para 
comprometer sistemas computacionais e, também, 
técnicas e ferramentas utilizadas para proteger es- 
ses mesmos sistemas. 

A apresentação pública de material de natureza 
sensível traz dificuldades relacionadas à definição 
da profundidade com que alguns conceitos devem 
ser tratados e à certeza da correção da destinação 
que será dada aos conhecimentos adquiridos. É 
comum, em universidades estrangeiras, para dis- 
ciplinas com esse tipo de conteúdo, a assinatura 
obrigatória de documentos nos quais os alunos as- 
sumem o compromisso legal de não utilizarem esses 
conhecimentos para fins inadequados. Por diversas 
razões, essa prática ainda não é adotada no Brasil. 

Apesar dessas dificuldades, as Instituições de 
Ensino Superior não podem deixar de preparar 
profissionais nessa área. Essa preparação está sen- 
do realizada através de disciplinas de graduação e 
de pós-graduação com denominações que, em ge- 
ral, incluem a palavra segurança em seus títulos. 
Nessas disciplinas, são apresentados conceitos rela- 
cionados à segurança de sistemas computacionais 
ou de seus serviços. Quando possível, pelas pró- 
prias características das questões analisadas, essas 
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disciplinas deixam de ter caráter meramente con- 
templativo e são realizadas experimentações práti- 
cas em laboratório. 


Neste trabalho, apresenta-se uma proposta de 
formalização e de ensino da disciplina Forense 
Computacional para alunos de graduação em fi- 
nal de curso ou para alunos de pós-graduação das 
áreas de Ciência da Computação e de Engenha- 
ria de Computação. Esta proposição apresenta 
uma disciplina flexível, de caráter eminentemen- 
te prático, que amplia a formação acadêmica des- 
ses estudantes. A disciplina proposta tem como 
pré-requisito mínimo o conhecimento formal de 
TCP/IP (Transmission Control Protocol/Internet 
Protocol) aprendido durante a disciplina de Redes 
de Computadores e, eventualmente, pode ser cur- 
sada em paralelo com as disciplinas que possuem 
a palavra segurança em seus títulos, no contexto 
apresentado no parágrafo precedente. 

Esta proposta segue padrões que estão sendo 
adotados para disciplinas desse tipo em outras ins- 
tituições, [2], e, em particular, na Universidade de 
Nebrasca, USA, [3]. Salvo melhor juízo, uma dis- 
ciplina com o perfil aqui proposto ainda não está 
formalizada no Brasil, apesar de excelentes traba- 
lhos já terem sido produzidos, [4]. Assume-se que, 
ao final dessa disciplina, o aluno apresente profi- 
ciência adequada para coletar evidências digitais 
em sistemas computacionais, interpretar os dados 
coletados, criar uma seqiiência de eventos que ca- 
racterizem as ações realizadas pelo ente que causou 
o problema e, mais importante, seja capaz de atuar 


com competência, profissionalismo e ética em um 
mercado promissor e carente de especialistas. 

Este trabalho está organizado como segue. A 
seção 2 apresenta o contexto no qual a disciplina 
proposta se enquadra. Nessa seção, é apresentado 
o padrão atual de formação dos alunos dos cur- 
sos de Ciência da Computação e de Engenharia 
de Computação na área de segurança de sistemas 
computacionais ou de seus serviços. É demonstra- 
da a oportunidade da criação da Forense Computa- 
cional, uma sub-área da Forense Digital, como uma 
disciplina formal. Em seguida, a seção 3 apresen- 
ta a distribuição da carga horária, os tópicos que 
integram a ementa da disciplina e uma sugestão 
para a realização da avaliação do rendimento dos 
estudantes. Na seção 4, mostra-se a dinâmica com 
que se pretende apresentar os assuntos. Sistemas 
operacionais livres e de código fonte disponível são 
escolhidos para as máquinas onde devem ser rea- 
lizadas as práticas de laboratório. A proposição 
das ferramentas e dos ambientes a serem utiliza- 
dos nessas práticas é feita na seção 5. O trabalho 
é concluído com a proposta de algumas linhas de 
pesquisa, ou de desenvolvimento, que podem ser 
seguidas como resultado da abordagem mais apro- 
fundada e estendida dos assuntos apresentados no 
decorrer da disciplina. 

A disciplina, na forma como está aqui discu- 
tida, será implementada na ênfase em Engenharia 
de Computação e Automação do Programa de Pós- 
graduação em Engenharia Elétrica da Universida- 
de Federal do Rio Grande do Norte e apresentada 
no primeiro semestre letivo de 2004. 


2 O CONTEXTO 


Nas Instituições de Ensino Superior, os alu- 
nos de Ciência da Computação e de Engenharia 
de Computação cursam a disciplina de Redes de 
Computadores segundo padrões bem estabeleci- 
dos, [5, 6, 7]. Os estudantes complementam es- 
sa formação cursando disciplinas na área de segu- 
rança de sistemas ou de serviços utilizando textos 
consagrados, [8, 9, 10]. Este trabalho sugere que 
essa formação inclua, também, a disciplina Forense 
Computacional. 

A Forense Computacional pode ser definida co- 
mo um conjunto de técnicas, cientificamente com- 
provadas, utilizadas para coletar, reunir, identifi- 
car, examinar, correlacionar, analisar e documen- 
tar evidências digitais processadas, armazenadas 
ou transmitidas por computadores. 

Evidência digital é qualquer informação de va- 
lor probatório que é armazenada ou transmitida de 
forma digital. 

Para a Forense Computacional, o computador, 
isolado ou em rede, pode ter sido o objeto ou o alvo 
de uma atividade criminosa cabendo ao analista a 
coleta de evidências que possam levar à identifica- 


lOs destaques foram feitos pelo autor deste trabalho. 
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ção e ao posterior indiciamento judicial de eventu- 
ais culpados, se esse for o objetivo. 

Formalmente, a Forense Computacional é uma 
sub-área da Forense Digital [11]. A Forense Digital 
pode ser definida como uma área de conhecimento 
que se utiliza de métodos elaborados e comprova- 
dos cientificamente visando a preservação, coleta, 
validação, identificação, análise, interpretação, do- 
cumentação e apresentação de evidências digitais 
com o propósito de facilitar ou permitir a recons- 
tituição de procedimentos de natureza criminosa 
que ocorram em equipamentos digitais. A Foren- 
se Digital é, portanto, mais abrangente e traba- 
lha com informações armazenadas ou transmitidas 
por equipamentos digitais como PDAs (Personal 
Digital Assistants), telefones celulares, máquinas 
de FAX, centrais telefônicas digitais, os próprios 
computadores, entre outros [12]. 

A Forense Digital é uma ciência relativamente 
nova, complexa e engloba procedimentos e meto- 
dologias de áreas tão distintas como Mineração de 
Dados, Linguística, Lógica, Probabilidade e Esta- 
tística, Processamento Digital de Sinais e de Ima- 
gens, Criptografia e Redes de Computadores. 

Pelo exposto, a disciplina proposta amplia a 
formação dos estudantes dos cursos de Ciência 
da Computação e de Engenharia de Computação, 
preparando-os para um mercado promissor e ca- 
rente de profissionais capacitados. Esses profissi- 
onais estarão aptos, também, a realizar pesquisa 
científica aplicada à criminalística “no sentido de 
se chegar a resultados satisfatórios na escolha dos 
melhores procedimentos e metodologias”, [13]. Es- 
se objetivo está de acordo com a proposta do mo- 
delo de padronização de procedimentos em Forense 
Computacional apresentado na referência [13]. Se- 
gundo essa referência, “o exame pericial, bem co- 
mo o desenvolvimento e avaliação de procedimen- 
tos de análise forense, devem ser executados por 
pessoa portadora de nível superior, forensi- 
camente capacitada e com habilitação técnica e 
científica relacionada à natureza do exame!. 
Além disso, tal pessoa não deve ter antecedentes 
que levantem suspeitas acerca do seu caráter e éti- 
ca”. Ainda, continuam os autores, [13], “o perito 
deve lastrear suas assertivas e conclusões com jus- 
tificativas científicas, de modo que haja, do ponto 
de vista científico, uma única possibilidade de se 
chegar a tais afirmações”. 


3 A ORGANIZAÇÃO DA 
DISCIPLINA 


A disciplina está estruturada para ser apresen- 
tada em 60 (sessenta) horas/aula, correspondentes 
a 04 (quatro) créditos, com duas sessões semanais 
de 02 (duas) horas/aula cada. Essa carga horá- 
ria está distribuída ao longo de 15 (quinze) sema- 


nas. Às sessões são utilizadas para a apresentação 
formal dos assuntos relacionados com a disciplina, 
para a realização eventual de palestras proferidas 
por profissionais convidados e para a apresentação 
de trabalhos desenvolvidos pelos alunos. As expe- 
riências realizadas em laboratório não estão conta- 
bilizadas nas 60 (sessenta) horas/aula previstas. 

Inicialmente, a disciplina será oferecida no pri- 
meiro semestre de 2004 para alunos da ênfase em 
Engenharia de Computação e Automação do Pro- 
grama de Pós-Graduação em Engenharia Elétrica 
da Universidade Federal do Rio Grande do Norte 
que tenham cursado o pré-requisito mínimo esta- 
belecido em seção anterior. 

A disciplina Forense Computacional, como está 
sendo proposta, possui a seguinte ementa: Intro- 
dução; Conceitos de Redes de Computadores e de 
Sistemas Operacionais; Sistemas de Detecção de 
Intrusos; Resposta a Incidentes; Análise de Siste- 
mas Comprometidos; Aspectos Legais; Aspectos 
Éticos. 

O desempenho individual dos estudantes será 
medido através da realização de duas avaliações 
individuais (com peso relativo de 40%), da apre- 
sentação de um projeto de análise realizado em 
grupo (com peso relativo de 40%) e pela apresen- 
tação de um trabalho individual (com peso relativo 
de 20%). 

O programa da disciplina deve evoluir como 
descrito na próxima seção. 


4 A IMPLEMENTAÇÃO 


Conforme apresentado na seção anterior, a dis- 
ciplina prevê aulas ao longo de 15 (quinze) sema- 
nas. Em termos de programação semanal, os as- 
suntos serão desenvolvidos na segiiência que se se- 
gue. 

Na primeira semana, apresenta-se uma visão 
geral da área de Forense Digital. O objetivo é 
mostrar o enquadramento dos assuntos tratados 
na disciplina Forense Computacional em um con- 
texto mais amplo, como definido na seção 2. Nessa 
semana, devem ser estabelecidos os grupos de tra- 
balho para a realização das tarefas práticas. Tam- 
bém devem ser escolhidos os temas dos assuntos 
que deverão ser pesquisados individuamente para 
apresentação no decorrer da disciplina. 

Nas duas semanas seguintes, apresentam-se os 
conceitos de redes de computadores e de sistemas 
operacionais que são diretamente relacionados à 
Forense Computacional. Nessa etapa, faz-se uma 
revisão dos protocolos do modelo TCP/IP. São re- 
visados conceitos correspondentes aos protocolos 
TCP (Transmission Control Protocol), [14], UDP 
(User Datagram Protocol), [15], ICMP (Internet 
Control Message Protocol), [16], e IP (Internet 
Protocol), [17]. O objetivo principal da apresen- 
tação desses protocolos é preparar os estudantes 
para a análise de logs a ser realizada na etapa sub- 1 


sequente. Assim sendo, são enfatizados o meca- 
nismo de handshaking, as portas dos serviços, os 
campos de flags do protocolo TCP e o conceito 
de cliente-servidor. Em relação ao protocolo IP, 
apenas o IPv4 (Internet Protocol version 4) será 
considerado e dar-se-á ênfase à revisão de ende- 
reçamento. No estudo dos protocolos deverão ser 
utilizadas ferramentas de análise de tráfego. Com 
relação a sistemas operacionais, a opção é sempre 
pelos sistemas livres e de código aberto. Serão uti- 
lizados o Linux e o OpenBSD como sistemas opera- 
cionais das máquinas do laboratório e das células 
de análise forense. Desta forma, será dada uma 
visão geral de aspectos relativos a sistemas de ar- 
quivos (filesystems), partições, devices, kernel, co- 
mandos e utilitários mais importantes desses siste- 
mas. Dependendo da disponibilidade, poderão ser 
apresentadas características de sistemas operacio- 
nais fechados. 

Nas três semanas subsequentes, serão apresen- 
tados assuntos relativos a sistemas de detecção de 
intrusos e de procedimentos de resposta a inciden- 
tes, [18, 19, 20]. Enfase é dada à análise e com- 
preensão de logs e à importância de se estabelecer 
mecanismos de sincronização de tempo para os di- 
versos equipamentos de rede. As implementações 
de máquinas centralizadoras de logs (loghosts) e 
do protocolo NTP (Network Time Protocol), [21], 
devem ser feitas nesta etapa. Além disso, serão 
discutidas as arquiteturas de honeynets e honey- 
pots [22]. Essas arquiteturas serão avaliadas do 
ponto de vista de fornecedoras de material para 
análise. Procedimentos para resposta a incidentes 
de segurança serão apresentados. 

As sessões dessas 6 (seis) primeiras semanas de- 
vem ser enriquecidas com experiências em labora- 
tório nas quais os alunos realizam, entre outras, as 
seguintes tarefas: 


e Utilização de ferramentas para coleta e aná- 
lise de tráfego de rede; 


e Implementação de sistemas de detecção de 
intrusos e análise dos respectivos logs; 


e Implementação de uma firewall e análise dos 
logs correspondentes; 


e Implementação de um sistema centralizado 
de coleta de logs, e 


e Implementação de uma hierarquia NTP. 


Em seguida, e durante as próximas 5 (cinco) se- 
manas, serão realizadas as sessões correspondentes 
aos três A da Forense Computacional: 


e Aquisição das evidências sem alterar ou con- 
taminar os dados originais; 


e Autenticação das evidências coletadas de 
forma a comprovar que estas são idênticas 
às originais apreendidas, e 


e Análise das evidências recolhidas. 


O objetivo nessa etapa é apresentar situações 
reais para que os estudantes, agora analistas foren- 
ses, desenvolvam seus trabalhos. Essas sessões são 
baseadas nas recomendações da RFC-3227, [23]. 
Utiliza-se, também, o material escrito em portu- 
guês disponível em [24] e as referências [25, 26, 27]. 

As exposições teóricas dessas sessões também 
serão complementadas com práticas realizadas em 
laboratório. Através dessas práticas, o estudante 
adquire capacitação para: 


e Documentar procedimentos; 


e Definir o hardware necessário para a monta- 
gem da célula de análise de mídias; 


e Instalar o sistema operacional, e as ferramen- 
tas adequadas, no equipamento onde as evi- 
dências serão analisadas; 


e Utilizar ferramentas para: 


— coletar evidências em memória; 


— coletar evidências relacionadas ao esta- 
do dos processos, e 


— coletar evidências relacionadas ao esta- 
do das conexões de rede. 


e Utilizar procedimentos para duplicação de 
mídias; 


e Utilizar procedimentos para preservação das 
evidências coletadas, e 


Tabela 1: Forense Computacional: 


e Utilizar ferramentas para a análise das evi- 
dências coletadas. 


É importante salientar que todas as experiênci- 
as em laboratório são realizadas segundo a disponi- 
bilidade de cada um dos grupos de alunos e podem 
ter ou não o acompanhamento direto, formal, do 
professor. 


A semana seguinte é reservada para a aborda- 
gem de aspectos legais e éticos relacionados à Fo- 
rense Computacional. Essas atividades podem ser 
combinadas com palestras de convidados represen- 
tantes de entidades encarregadas da manutenção 
da lei. 


Finalmente, as 3 (três) últimas semanas da dis- 
ciplina estão reservadas para que os alunos apre- 
sentem os trabalhos teóricos e/ou práticos desen- 
volvidos. 


Todos os procedimentos propostos para a apre- 
sentação da disciplina estão sumarizados na Tabe- 
la 1. Pode-se observar que as 15 (quinze) semanas 
estão agrupadas em 3 (três) etapas. A primeira 
etapa, constituída pelas 6 (seis) primeiras sema- 
nas de aula, concentra as atividades relativas à co- 
leta e análise de tráfego de rede, implementação 
de serviços (sistema de detecção de intrusos, fi- 
rewall, loghosts, hierarquia NTP) e análise de logs. 
A segunda etapa, com 5 (cinco) semanas de aula, 
corresponde a atividades relacionadas à aquisição, 
autenticação e análise de evidências. 


resumo dos tópicos a serem abordados 


Total de 


Atividades Planejadas 
Semanas 


Etapa 


Introdução 


Contextualização da disciplina 
Definição dos Grupos de Trabalho para realização de tarefas práticas 
Escolha de temas para a realização do Trabalho Final Individual 


TCP/IP - Protocolos TCP, UDP, ICMP, IPv4 
2 Linux/OpenBSD como base das células de análise forense 
1 Outros sistemas operacionais 


Sistemas de detecção de intrusos 


Sistemas de proteção de redes e de hosts - firewalls 

Máquinas centralizadoras de logs, loghosts 

Mecanismo de sincronização de tempo, protocolo NTP 

Utilização de honeynets, honeypots como fornecedoras de material 
Procedimentos para resposta a incidentes de segurança 


Mídias digitais 

Procedimentos para coleta e preservação de evidências 
Procedimentos para análise de evidências 

Utilização de ferramentas e de ambientes para análise forense 


Aspectos legais e éticos da Forense Computacional 


Apresentação dos trabalhos realizados 
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Na terceira etapa, com 4 (quatro) semanas de 
aula, são discutidos aspectos éticos e legais perti- 
nentes e são apresentados os trabalhos desenvolvi- 
dos pelos estudantes. 

A divisão em etapas dos assuntos tratados na 
disciplina Forense Computacional auxilia no pro- 
cesso de escolha das ferramentas a serem utilizadas 
nos trabalhos desenvolvidos em laboratório. 


5 FERRAMENTAS E AM- 
BIENTES 


Para as atividades desenvolvidas em laborató- 
rio, a opção é a utilização de ferramentas e ambien- 
tes livres e de código aberto por questões de custos 
e, também, por estarem facilmente disponíveis. O 


código aberto traz em si, ainda, a vantagem adicio- 
nal de possibilitar a realização de auditorias como 
mais uma prática de ensino. 

As experiências de laboratório serão realizadas 
em máquinas com sistemas operacionais Linux e 
OpenBSD. Inicialmente, será dado destaque à uti- 
lização de comandos ou utilitários geralmente pre- 
sentes nessas distribuições e que devem ser de co- 
nhecimento dos estudantes. Podem-se citar: ls, 
cd, cat, dd, mount, file, strings, ps, arp, Isof, 
netstat, find, strace, grep, entre outros. 

Também serão usadas e avaliadas as ferramen- 
tas e os ambientes mostrados na Tabela 2. Nessa 
Tabela, todos os links apresentados estão ativos 
em junho de 2003. Essas ferramentas e ambientes 
representam apenas uma pequena fração do mate- 
rial que está disponível na Internet, [28]. 


Tabela 2: Ferramentas e Ambientes Utilizados 


Etapa | Ferramentas e Ambientes Disponibilidade 
tcpdump, libpcap http://www.tcpdump.org 
ethereal http://www.ethereal.org 
nmap http://www. insecure.org 
1 netcat http://www.atstake.com 
snort http://www.snort.org 
chkrootkit http://www.chkrootkit.org 
iptables http://www.netfilter.org 
pf http://www.benzedrine.cx/pf.html 
TCT http://www.porcupine.org 
The Sleuth Kit http://www.sleuthkit.org/sleuthkit/index.php 
2 The Autopsy Forensic Browser | http://www.sleuthkit.org/autopsy/index.php 
trinux http://trinux.sourceforge.net/ 
FIRE http://fire.dmzs.com 
Knoppix http://www.knoppix.org 


Como descrito na seção anterior, a apresen- 
tação da disciplina está dividida em etapas para 
facilitar a escolha das ferramentas e dos ambien- 
tes a serem utilizados em laboratório. Na Etapa 
1, mostrada na Tabela 2, nos procedimentos de 
aprendizagem relativos à coleta e análise de tráfego 
de rede, serão usadas as ferramentas tcpdump e 
ethereal. A ferramenta tcpdump, uma das mais 
destacadas na área de segurança, [19], é uma inter- 
face para as funcionalidades de captura e de filtra- 
gem de pacotes que são oferecidas pela biblioteca 
libpcap. A biblioteca libpcap também é adota- 
da como base para alguns sistemas de detecção de 
intrusos. O tráfego capturado via tcpdump pode 
ser analisado pelo próprio programa ou por uma 
ferramenta auxiliar. A ferramenta auxiliar esco- 
lhida, ethereal, pode ser usada em nível de linha 
de comando ou através de sua interface gráfica. 


Ainda na primeira etapa, serão usados os pro- 
gramas nmap, netcat, snort e chkrootkit, [29]. 
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O software nmap é um port scanner utilizado para 
fazer auditorias e mapeamento de redes e também 
serve como gerador de tráfego interessante. Es- 
se tráfego é capturado pelo tcpdump e analisado 
através do ethereal. O netcat é um utilitário que 
lê ou escreve dados através de conexões de rede via 
protocolo TCP ou UDP. Pode ser usado para fa- 
zer transferências de conteúdo de mídias de um 
computador para outro. O snort é um sistema de 
detecção de intrusos. Na disciplina, ele será empre- 
gado para produzir logs das ameaças geradas no la- 
boratório. O chkrootkit é utilizado para detectar 
a presença de rootkits. Os rootkits são ferramen- 
tas utilizadas por atacantes após comprometerem 
máquinas. 

A implementação das firewalls será feita 
usando-se o iptables nos sistemas Linux ou o pf 
nos sistemas OpenBSD. 


As técnicas de aquisição, autenticação e análi- 
se das evidências são estudadas durante 5 (cinco) 


semanas usando-se as ferramentas e os ambientes 
apresentados na Etapa 2 da Tabela 2. 

Nessa etapa, a primeira ferramenta apresen- 
tada aos estudantes é o TCT, The Coroner's 
Toolkit, desenvolvida por Dan Farmer e Wietse 
Venema. TCT é composto por programas para 
aquisição de dados (grave-robber) e por progra- 
mas para análise de sistemas de arquivos (unrm, 
ils, icat e lazarus). 

O software The Sleuth Kit, anteriormente 
conhecido como TASK - The GQstake Sleuth 
Kit, é uma coleção de ferramentas em linha de co- 
mando que permite examinar sistemas de arquivos 
NTFS, FAT, FFS, EXT2FS, e EXT3FS. Foi testa- 
do em diversas distribuições Linux e *BSD. Apesar 
de adotar o código e a arquitetura de projeto do 
TCT, estende suas funcionalidades. O programa 
The Autopsy Forensic Browser é uma interfa- 
ce gráfica para o software The Sleuth Kit. 

No decorrer do curso, o aluno utilizará ambien- 
tes autônomos gravados em disquetes ou em CDs 
auto-executáveis. Esses ambientes possuem um 
conjunto de ferramentas que permitem a realiza- 
ção ou que podem auxiliar nos procedimentos de 
análise forense. Os ambiente são: 


e trinux, uma distribuição Linux baseada em 
disquete que possui ferramentas que podem 
ser utilizadas para análise de tráfego e veri- 
ficação de vulnerabilidades, entre outros; 


FIRE (Forensic and Incident Response En- 
vironment Bootable CD) que, atualmente, 
possui 196 (cento e noventa e seis) ferramen- 
tas disponíveis, agrupadas em: 


ferramentas para recuperação e análise 
de dados; 


ferramentas para resposta a incidentes; 
ferramentas para realização de testes de 
penetração; 
ferramentas diversas compiladas estati- 
camente, e 


ferramentas para a descoberta de vírus. 


Knoppix, uma distribuição Linux de propó- 
sito geral que pode ser adotada na fase de 
coleta de evidências em sistemas comprome- 
tidos. 


As ferramentas e os ambientes descritos serão 
utilizados para analisar: 


e os logs obtidos de sistemas em produção ou 
gerados através de práticas desenvolvidas no 
próprio laboratório; 

e as imagens de sistemas comprometidos atra- 
vés de experiências práticas realizadas em la- 
boratório, e 


e imagens de sistemas comprometidos obtidas 
na Internet. 
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6 CONCLUSÕES 


Apresenta-se uma proposta de formalização e 
de ensino da disciplina Forense Computacional. 
Essa disciplina pode ser enquadrada como disci- 
plina complementar para alunos em final de curso 
nos cursos de graduação de Ciência da Computa- 
ção ou de Engenharia de Computação ou em cursos 
de pós-graduação dessas mesmas áreas. A discipli- 
na, de caráter eminentemente prático, será inicial- 
mente implementada na ênfase em Engenharia de 
Computação e Automação do Programa de Pós- 
graduação em Engenharia Elétrica da Universida- 
de Federal do Rio Grande do Norte e apresentada 
no primeiro semestre letivo de 2004. 

Com essa disciplina abrem-se perspectivas de 
realização de pesquisas de novas técnicas em com- 
putação forense, de ampliação da cobertura ou de 
realização de auditorias em ferramentas e em ambi- 
entes existentes, de desenvolvimento de novas fer- 
ramentas e na criação de metodologias para a vali- 
dação de técnicas e procedientos atualmente ado- 
tados. 
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